Prof. Ing. Edith Urdaneta

El estudio de la seguridad física se suele dividir en dos grandes bloques: Seguridad física y Seguridad lógica

Hoy en día la línea que separa ambos bloques es cada vez más difusa debido a que todos los elementos de las salvaguardas técnicas se utilizan tanto para proteger activos de carácter físico como lógico.

Todas las amenazas a la que está sometido un CPD, así como las medidas de protección y salvaguarda que se implantan en dicho sistema para garantizar la seguridad de información, se puede encuadrar en alguno de estos 2 bloques, por ello de habla de:

Amenaza de carácter lógico => Seguridad lógica

Amenaza de carácter físico => Seguridad física

Confidenciality

Integrity Availability

Seguridad física tiene que garantizar la disponibilidad e integridad de equipos y datos, mientras que la seguridad lógica se centra casi exclusivamente en datos y añade un agravante más: la pérdida de confidencialidad e integridad, que no suele existir en los ataques físicos.

Las amenazas de tipo lógico suelen comprometer: Confidencialidad, Integridad y Disponibilidad

Las amenazas de tipo físico suelen comprometer en mayor medida la Disponibilidad aunque, también existen algunas que amenazan la Confidencialidad e Integridad

La seguridad lógica es la rama de la seguridad más conocida y a la que generalmente se le otorga mayor importancia, pero hay que tener en cuenta que los grandes incidentes de seguridad, –los que ponen en peligro la continuidad de servicios y hasta la existencia de la organización que los sufre- suelen estar comprendidos en el ámbito de la seguridad física

Dentro del ámbito de la seguridad física es sobradamente conocido el grave impacto de los desastres naturales

Sin olvidar que un ataque lógico a un CPD puede comprometer su funcionamiento y dejarlo fuera de servicio durante un tiempo + o – largo, un ataque físico puede dejarlo inoperativo para siempre

Para poder realizar un ataque lógico es necesaria una serie de herramientas y medios técnicos, además de conocimientos tecnológicos de cierto nivel

Para llevar a cabo un ataque físico, en la mayoría de los casos no suele ser necesario disponer de grandes medios, ni tener grandes conocimientos específicos

La amenaza más grave a la que está sujeto el HW es un ataque malintencionado y se suele dirigir contra el elemento más débil –habitualmente con menos protección- y que más impacto causa a la organización cuando es destruido

Por ello las salvaguardas a aplicar en contra de este tipo de ataques son: Zonas de acceso restringido

Vigilantes armados

Detectores de intrusos

Evitar

Retrasar

Detectar

Defender (respuesta activa contra el hecho)

Línea Consiste en….

1era Evitar y retrasar la materialización de la amenaza

2da Medidas de seguridad física que permitan detectar los incidentes e informar de los mismos

3era Controles implantados minimicen los impactos en caso de materialización de las amenazas y permitan responder adecuadamente ante los incidentes de seguridad física

La seguridad física también debe basarse en el principio de defensa en profundidad => conjunto escalonado de medidas de seguridad que la garanticen y permitan una respuesta apropiada ante incidentes

Obtener un adecuado grado de Seguridad Física que evite el Fallo o aminore sus consecuencias: Control localización edificio donde está el CPD Control localización CPD dentro del edificio Sistemas contra incendios Control de accesos Duplicidad de medios Duplicidad de localizaciones Definir un Plan de Contingencia adecuado …

Ejecutar fielmente el Plan de Contingencia: Plan de Recuperación frente a un Desastres (algo que

llega a interrumpir el servicio) Análisis previo de Riesgos Críticos en función de la

Tolerancia soportada Establecer Periodo Crítico de Recuperación Ordenar por Criticidad las Aplicaciones y su necesidad de

ser “levantadas” Sistemas de Back-up (no necesariamente CPD alternativo) ….

Posible existencia de un CPD alternativo

Coberturas externas:

Seguros…

Si queremos disponer de una referencia de buenas prácticas en el campo de auditoría y control de los CPD podemos utilizar COBiT(Control Objectives for Information and related Technology), entre cuyos controles se contemplan aquellos relacionados con la seguridad física

El dominio Entrega y Soporte de la versión 4 de COBiT contempla aspectos relativo a la gestión de seguridad y continuidad de las operaciones e incluye un objetivo de control de alto nivel específico para la seguridad física y del Entorno: DS 12 Gestión del Entorno Físico

Este objetivo de control hace hincapié en que para una adecuada protección de elementos/personas que componen el CPD y CPD son necesarias instalaciones bien diseñadas y gestionadas

Los procesos de gestión del entorno físico deben incluir la definición de los requisitos que deben cumplir : Los edificios y localizaciones donde vayan a residir los

elementos de nuestro CPD y CPD,

La selección de locales e instalaciones

Diseño de los procesos necesarios para supervisar los factores ambientales

Gestionar el acceso físico a las instalaciones y recursos

Una gestión adecuada y efectiva del entorno reduce la frecuencia de las interrupciones del funcionamiento habitual del negocio, ocasionadas por daños a los equipos y al personal

Según COBIT el objetivo de control de alto nivel DS12 es un control sobre el proceso de TI y gestión del entorno físico que satisface el requisito de negocio de TI: proteger los activos de TI y la información del negocio, minimizando el riesgo de una interrupción del servicio

Este objetivo de control está dirigido a proporcionar y mantener un entorno físico adecuado para proteger los activos de TI contra acceso, daño o robo.

Para ello es necesario implementar medidas de seguridad física, así como seleccionar y gestionar las instalaciones donde residen los elementos del CPD

Así mismo es necesario medir su efectividad, para lo cual se utilizan los siguientes indicadores:

Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico

Número de incidentes ocasionados por fallos o vulnerabilidades de seguridad física

Frecuencia de la revisión y evaluación de los riesgos físicos

El objetivo de control de alto nivel se descompone en los 5 objetivos que se verán a continuación:

Selección y diseño de los centros de proceso de datos

Medidas de seguridad física

Acceso físico

Protección contra factores ambientales

Gestión de instalaciones

Debe realizarse teniendo en cuenta tanto los riesgos asociados a desastres naturales como a los provocados por el hombre

También se debe considerar la legislación aplicable, como las leyes y los reglamentos relativos a la seguridad y salud en el trabajo

Deben estar alineadas con el requerimiento del negocio

Deben incluir pero no limitarse a: Establecimiento de un perímetro y zonas de seguridad

Ubicación de los equipos críticos

Zonas de carga y descarga

Deben definirse las responsabilidades relativas a procedimientos de supervisión, informe y resolución de incidentes de seguridad física

Se deben definir e implementar procedimientos para otorgar, limitar el acceso a locales, edificios y áreas de acuerdo a las necesidades del negocio, incluyendo los accesos en caso de emergencia

El acceso a locales, edificios y áreas debe: Justificarse

Autorizarse

Registrarse

Supervisarse

Esto es aplicable a todas las personas que acceden las instalaciones: personal,

clientes, proveedores, visitantes.

Se deben implementar medidas de protección contra factores ambientales

Deben instalarse dispositivos y equipos adecuados para la supervisión y control de entorno

Debe incluir la gestión de equipos de comunicaciones y de suministro de energía, de acuerdo con :

las leyes y reglamentos aplicables

Los requerimientos técnicos y del negocio

Las especificaciones de los proveedores

Requisitos relativos a la seguridad y salud en el trabajo

Esta norma se refiere a las buenas prácticas para la gestión de la seguridad de la información. Lo que propone esta norma se incluye en 2 apartes:

Seguridad física y del entorno

Control de acceso

Perímetro de seguridad

Control físicos de entrada

Seguridad de oficinas, despachos e instalaciones

Protección contra amenazas externas y ambientales

Trabajo en áreas seguras

Área de acceso público y áreas de carga/descarga

Instalación y protección de equipos

Suministro eléctrico

Seguridad del cableado

Mantenimiento de equipos

Seguridad de los equipos fuera de los locales de la organización

Seguridad en la reutilización, enajenación o desechos de equipos

Salida de las instalaciones

Política de control de acceso

Gestión de accesos a usuarios

Gestión de privilegios

Revisión de derechos de acceso de usuarios

Equipo informático de usuario desatendido

Política de limpieza de escritorio y pantalla

Informática móvil y comunicaciones

A la hora de diseñar e implantar un plan de seguridad física es necesario realizar un análisis de riesgos, para ellos determinaremos las amenazas existentes y calcularemos el nivel de riesgo intrínseco al que estamos expuestos e implantaremos las salvaguardas necesarias para alcanzar el nivel de riesgo asumido por la organización

A continuación se referirá como desarrollar un par de controles de alto nivel con sus correspondientes controles detallados, para que sirva de ejemplo de como desarrollar el resto:

Perímetro de seguridad física

Control de entrada

Para implementar este control de alto nivel, debemos detallar un serie de controles de bajo nivel organizados por capas

La existencia de un perímetro de seguridad implica la necesidad de unas medidas de protección del perímetro, el acceso al interior del perímetro debe realizarse a través de un área vigilada, con una clara separación del perímetro de las áreas que no se encuentran bajo nuestra responsabilidad y sean gestionadas por terceros

Desarrollo del control:

Perímetro de seguridad física:

Protección del perímetro:

Perímetro claramente definido con una valla o muro

Construcción resistente

Puertas de acceso

Puertas de acceso reforzado

Puertas de acceso blindadas

Mínimo # de entradas

Ventanas

Cristales opacos

Protección de conductos y aberturas

Sistema de detección de intrusión perimetral

Sistema de circuito cerrado de TV

Separación de áreas gestionadas por terceros

Para implantar un control de entrada adecuado hay que tener presente que es necesario desplegar una serie de controles detallados que garanticen un adecuado control de los accesos físicos a las instalaciones, por ej.: una gestión de cierre de oficinas y locales

Desarrollo de Control: Control de los acceso físicos Control de los accesos: Procedimiento de control de acceso

Verificación previa de las autorizaciones de acceso del personal

Registro de los accesos

Revisión periódica del registro de accesos

Investigación de cualquier sospecha o intento de acceso físico no autorizado

Sistema automáticos de control de acceso:

Alimentación redundante

Mecanismo de identificación Basado en PIN o token

Basado en token y PIN

Basado en biometría

Basado en biometría y token

Revisión y mantenimiento periódicos

Sistema de detección de intrusión centralizado

Instalación por empresa autorizada

Alimentación redundante

Atendido por el personal

Protección de sabotaje …..

Procura lograr la integridad de los activos humanos, materiales y lógicos de un CPD a través de la minimización del Riesgo de Fallo físico y garantizar la continuidad del servicio verificando la existencia de los controles internos requeridos.

Como cualquier auditoría, hay que seguir el circuito: Riesgo Control Pruebas

Políticas, Normas y Planes de Seguridad emitidos por la Empresa o por Instituciones Públicas

Auditorías anteriores Contratos de Seguros, de Proveedores y de Mantenimiento Entrevistas con el personal del CPD (incluyendo seguridad) Actas e Informes de peritos o consultores externos (p.e. seguridad

estructural del edificio) Pan de Contingencia y valoración de sus Pruebas Informes sobre accesos y visitas Informes sobre evacuaciones previas (simulacros y reales) Políticas de Personal Inventarios de Soportes (en especial copias de seguridad y cómo

recuperarlas)

La auditoría de seguridad física aplican los mismo principios y procedimientos que cualquier otro tipo de auditoría.

Igualmente las herramientas que se utilizan son las habituales en los procesos de auditoría

Las diferencias apreciables son: Estamos auditando algo material que podemos ver y tocar

Los controles a auditar son complejos y pertenecen a diferentes áreas de conocimiento, la mayoría fuera del campo habitual de los informáticos

Por lo antes expuesto es necesario que el auditor disponga de una formación multidisciplinar básica –que le permita comprender y verificar el funcionamiento de los controles de SF-y de la colaboración de expertos en las diferentes ramas o materias implicadas en los controles de seguridad física para verificar en profundidad un control determinado

Las preguntas formuladas aquí son un ejemplo como se puede construir una batería de preguntas para obtener evidencia del grado de implantación de los controles de seguridad física en una organización

En este caso el criterio que se ha seguido para agrupar los controles es el origen de la amenaza, otra manera de organizar el cuestionario es según la organización que lo propone

Categoría Ejemplo de pregunta

Procedimientos generales Existe una política de seguridad física en la empresa y está actualizada?

Control de acceso Se ha realizado un estudio de riesgo de intrusión en el edificio?

Incendio Se ha realizado un estudio de los riesgos de incendio que cubra tanto la prevención como la protección?

Agua Se ha hecho un estudio a cerca de la posibilidad de inundaciones en la zona?

Suministro eléctrico Existe un sistema de alimentación ininterrumpida?

Comunicaciones Existen sistemas de comunicación alternativos en caso de avería o fallo?

HW/SW Existe un control de configuración del HW y del SW?

La seguridad física y su auditoría son imprescindibles para poder garantizar la CIA de los CPD y comunicaciones

Para la ejecución de un ataque físico contra la información y los sistemas que la almacenan procesan o transmiten no son necesarios grandes conocimientos técnicos ni grandes inversiones, lo único necesario es la voluntad de hacer daño y la ocasión para intentarlo

Los fenómenos naturales (terremotos, inundaciones, tormentas, etc.) y sus efectos, representan una de las mayores amenazas físicas a las que estás expuestos los CPD

A la auditoría física también le son aplicables las buenas prácticas y procedimientos generales de la auditoría de sistemas

Para afrontar con éxito una auditoría de la seguridad física, el auditor necesita una formación básica multidisciplinar que le permita verificar y comprender el funcionamiento de los controles de seguridad física y contar con la ayuda y soporte de los expertos en las materias concretas, para poder auditar los aspectos técnicos de los controles